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© Procede de limitation des risques attaches a une transaction informatique. 

© L'invention concerne un procede d'analyse et de controle du derouiement de transactions informatiques 
dans iequel, a chaque transaction: 

- un utilisateur requiert d'un dispositif la delivrance de biens, de services ou de valeurs pour un montant 
demande (MD) donne, 

- le dispositif analyse cette requete par comparaison avec des donnees statistiques predeterminees representati- 
ves de revaluation d'un risque d'utilisation non conforme, ces donnees statistiques comprenant des donnees 
relatives au nombre moyen ou au montant moyen des transactions effectuees au cours de periodes successives 
donnees, et 

- le dispositif elabore une reponse autorisant ou non s en fonction du resultat de cette analyse, la delivrance d'un 
montant accorde (MA), 

Selon l'invention, lesdites donnees statistiques predeterminees resultent d f une division du temps en 
periodes consecutives, inegaies, dont les durees sont choisies de telle maniere que la probability qu'une 
transaction soit effectuee ou qu'un montant moyen soit demande au cours de chacune de ces periodes soit 
essentiellement constante. 
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PROCEDE DE LIMITATION DES RISQUES ATTACHES A UNE TRANSACTION INFORMATIQUE 

La presente invention conceme un procede d'analyse et de controle du deroulement de transactions 
informatiques. 

Ce procede peut s'appliquer a une tres grande variete de transaction executees par des automates, 
reseaux de communication, terminaux informatiques, etc, destines a delivrer des biens, des services ou des 
5 valeurs a un utilisateur. 

Bien que, dans la suite, le procede de I'invention sera essentiellement decrit a propos d'une application 
a un distributeur automatique de billets, une telle application n'est aucunement limitative et le procede de 
('invention pourrait etre mis en oeuvre aussi bien pour ('analyse et le controle d'autres transactions. 

Ainsi, dans son principe, ce procede peut s'appliquer au controle du fonctionnement d'autres appareiis 
w automatiques (telephones publics par exemple) ou de reseaux (notamment de reseaux telematiques) 
destines a distribuer des produits ou des valeurs, a delivrer des services ou a fournir des informations, des 
lors que ces appareiis ou reseaux peuvent etre sujets aux fraudes ou aux utilisations anormales ou abusives 
que Con va decrire ci-dessous. 

Le procede de i'invention s'applique tout particulierement aux centres serveurs de donnees et de 
15 services relies a des terminaux informatiques ou videotex. En effet, dans ce cas, le procede de ('invention 
se revele particulierement interessant compte tenu de la diffusion tres large dans le public des terminaux 
videotex, muitipliant ainsi les probabilites de fraude et les risques qui y sont attaches. 

On utilisera dans la suite de (a description le terme automate » pour designer de fagon generique 
rensemble constitue par le dispositif assurant le dialogue avec I'utilisateur et delivrant les biens, les 
20 services ou les valeurs demandees, considere avec rensemble de ses circuits de gestion et de commande 
associes. 

Par ailleurs, bien que, dans la suite de la description, on decrira un tei automate » sous forme d'une 
machine autonome affectee a la gestion d'un unique appareil distributeur et pourvue de microcircuits 
specialises mettant en oeuvre le procede de I'invention sous forme materieile ou logicielle, d'autres formes 
25 de realisation de cet automate pourrait aussi bien etre envisagee, notamment: 

- en configurant de fagon appropriee, sous forme informatique equivalente, un ordinateur personnel dote de 
circuits d'interfacage et d'un logiciel approprte, 

- sous forme d'un systeme informatique plus puissant, permettant de gerer en parailele un grand nombre 
d'automates, par exempie un reseau de plusieurs centaines d'automates geres en ligne par un centre 

30 d'autorisation commun, ou 

- par incorporation directe du procede de I'invention dans le logiciel de commande d'un automate 
preexistant ou de Pordinateur gestionnaire d'un reseau d'automates. 

De fagon generale, dans toute les transactions evoquees plus haut, ('automate differencie les utilisa- 
teurs autorises de ceux qui ne ie sont pas au moyen de <sc laissez-passer » tel qu'un mot de passe ou un 
35 code confidentiel et/ou une carte accreditee devant etre introduite dans i'automate. 

Ces automates sont susceptibles d'etre fraudes ou utilises de fagon non conforme, aussi bien par une 
personne non autorisee reussissant a connattre un mot de passe que par le veritable titulaire du laissez- 
passer, qui tenterait d'utiliser de fagon abusive ou anormale Pautorisation dont il beneficie pour faire 
fonctionner I'automate. Toutes ces formes d'utilisation non conformes seront dans ia suite designees de 
40 fagon generique sous le terme de <sc fraude 

La difficulte vient du fait que, des lors qu'un utilisateur fournit a I'automate un laissez-passer coherent et 
apparemment correct, il n'existe aucun moyen de determiner de fagon absoiue si cet utilisateur est un 
fraudeur ou non. 

De la meme fagon, ii existe peu de parades efficaces contre j'utiiisation abusive consistant a dupliquer 
45 a grande echelle un laissez-passer authentique, le fraudeur effectuant avec chacun des dupiicata une 
transaction sur un automate different. 

Pour parer a ce risque, on a deja essaye de detecter les utilisations exceptionnellement e levees d'un 
automate, ces utilisations exceptionnelles pouvant etre I'indice d'une fraude. 

Les automates sont a cet effet pourvus de systemes que I'on designera par la suite sous le terme de <$c 
50 limiteurs de risque » et qui analysent le nombre et/ou le montant des transactions effectuees pendant des 
periodes successives donnees, par exemple pendant des tranches successives d'un quart d'heure. 

Lorsque, au cours de cette tranche d'un quart d'heure, le montant cumule des retraits atteint un plafond 
fixe predetermine, le limiteur de risque interrompt le fonctionnement de I'automate - et empeche done toute 
delivrance - jusqu'au debut de la nouvelle periode suivante, e'est-a-dire jusqu'au quart d'heure suivant ; le 
plafond correspondant a chaque periode est fixe a partir de donnees statistiques predeterminees represent 
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tatives de revaluation d'un risque de fraude pour le periode concernee. 
L'efficacite d'un tei limiteur de risque est cependant reduite. En effet: 

- tout d'abord, il ne tient pas compte des phenomenes d'afflux soudains de porteurs normaux, non 
fraudeurs (par exemple, dans le cas d f un automate installe dans une gare, peu apres Parrivee d'un train), a 

5 Pinterieur d'une tranche horaire donnee : i'utiiisation exceptionneilement elevee va provoquer Parret de 
Pautomate jusqu'au quart d'heure suivant, ce qui peut provoquer une indisponibilite assez longue si Pafflux 
a eu lieu en debut de tranche horaire. 

- en second lieu, il est inefficace contre un fraudeur experiments. 

- enfin, il ne permet pas d'adopter le meilleur compromis entre Pindisponibilite de Pautomate vis-a-vis des 
10 porteurs legitimes et l'efficacite contre les fraudeurs. 

Le but de la presente invention est de perfectionner les methodes utilisees jusqu'a present, afin de 
limiter considerablement - typiquement dans un rapport de dix et plus par rapport aux procedes actuels 
d'analyse - les effets de fraudes importantes. 

On verra en outre que ce procede est mis en oeuvre de facon entierement automatique et auto- 

15 adaptative, grace a Pintegra tion d'un certain nombre d'asservissements permettant de stabiliser le systeme 
autour d f une valeur de consigne qui peut etre un taux de fausses alarmes. 

Ainsi, on introduira par exemple dans le systeme la valeur de consigne <£ ne pas penaliser pius d'un 
utilisateur honnete sur mille et le procede ajustera de lui-meme son propre fonctionnement de maniere a 
respecter et maintenir cette valeur de consigne. 

20 L'evaluation du procede de I'invention a permis de constater que celui-ci est particulierement perfor- 
mant. Par exemple, avec ies valeurs typiques de parametrage qui seront donnees plus loin dans Pexemple 
de realisation, on constate que le limiteur de risque entre en action tres rapidement, generalement apres 
trois ou quatre operations frauduleuses. Le fraudeur doit alors abandonner sa tentative, aller a un autre 
automate; etc. et perd du temps, ce qui limite considerablement son gain potentiei et reduit done 

25 notablement Pechelle des fraudes possibles. 

Le procede de I'invention est un procede du type general precite, e'est-a-dire dans lequel, a chaque 
transaction : un utilisateur requiert d'un dispositif la delivrance de biens, de services ou de valeurs pour un 
montant demande donne ; le dispositif analyse cette requete par comparaison avec des donnees statisti- 
ques predeterminees representatives de Pevaiuation d'un risque d'utiiisation non conforme, ces donnees 

30 statistiques comprenant des donnees relatives au nombre moyen ou au montant moyen des transactions 
effectuees au cours de periodes successives donnee ; et le dispositif elabore une reponse autorisant ou 
non, en fonction du resultat de cette analyse, ia delivrance d'un montant accorde, 

De fagon caracteristique de i'invention, lesdites donnees statistiques predeterminees resultent d'une 
division du temps en periodes consecutives, inegales, dont ies durees sont choisies de telle maniere que ia 

35 probability qu'une transaction soit effectuee ou qu'un montant moyen soit demande au cours de chacune 
de ces periodes soit essentieiiement constante. 

De preference, pour assurer une fonction de limitation progressive, ie dispositif elabore et met a jour au 
cours du temps une fonction donnant une evaluation d'un niveau de risque total, et, en cas de transaction, 
le dispositif limite, a un instant donne, la delivrance du montant accorde a une valeur au plus egale a la fois 

40 au montant demande et a une limite egaie a un plafond predetermine diminue de la valeur instantanee du 
risque total. 

Dans ce cas, a Pinterieur de chaque periode, le dispositif peut mettre a jour la valeur du risque total par 
addition, apres chaque transaction, de la valeur d'un niveau de risque eiementaire attache a cette 
transaction, a la valeur precedente du risque total. Le risque eiementaire attache a chaque transaction est 

45 alors une fonction donnant, pour chacune des periodes successives a venir, une serie devaluations 
successives determinees a partir du montant accorde delivre par le dispositif pour cette transaction, ces 
evaluations successives etant determinees de maniere a donner une evaluation du risque eiementaire 
essentieiiement decroissante en fonction du rang des periodes successives. 

Par ailleurs, ledit plafond predetermine peut etre determine a partir d'une valeur fixe de consigne 

50 initialement introduite dans le dispositif et dans lequel, en outre, le dispositif determine Papparition d'un 
incident lorsqu'il ne delivre qu'un montant accorde inferieur au montant demande, et asservit ladite valeur 
fixe de consigne initialement introduite sur un taux moyen d'incidents essentieiiement constant au cours du 
temps. 

Selon une caracteristique avantageuse, lesdites durees definissant la division du temps en periodes 
55 consecutives inegales sont determinees par interpolation a partir des valeurs d'un tableau de vaieurs 
discretes statistiques preetablies correspondant a une division du temps en tranches consecutives. 
Dans ce cas, le dispositif peut notamment: 

- determiner Papparition d'un incident lorsqu'il ne delivre qu'un montant accorde inferieur au montant 
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demande, et asservir iesdites valeurs discretes statistiques preetablies initialement introduites de maniere a 
maintenir essentiellement constante la probabiiite qu'une transaction soit effectuee ou qu'un montant moyen 
soit demande au cours de chacune des periodes correspondantes; 

- utiliser un tableau de valeurs discretes statistiques different pour chacun des differents jours; 

5 - ponderer les valeurs discretes statistiques du tableau en fonction des variations cycliques constatees 
desdites valeurs, notamment selon le quantieme du mois et/ou le rrtois de I'annee ; et/ou 

- ponderer les valeurs discretes statistiques du tableau en fonction des parametres typiques lies a des 
transactions frauduleuses anterieurement constatees. 

Enfin, le procede de ('invention prevoit un moyen pourparer une possibilite subsistante de fraude. En 
w effet, dans beaucoup de systemes une utilisation anormalement faibie du systeme peut etre consideree 
comme un signe annonciateur d'une possibilite de fraude. 

A cet effet, on prevoit de considerer non seulement ies utilisations exceptionnellement elevees de 
rautomate, mais egaiement ses utilisations exceptionnellement faibles. 

Pour ceia, le dispositif elabore et met a jour au cours du temps une evaluation d'un niveau de risque 
15 aggrave inversement fonction de la probabiiite pour que, a un instant donne, il n'y ait pas eu de transaction 
effectuee depuis un nombre donne de periodes consecutives, le risque aggrave etant ajoute au risque total 
sous forme d'une transaction fictive de montant donne, et, en cas de transaction dans une periode 
posterieure, !e dispositif limite, a un instant donne, ia delivrance du montant accorde a une valeur au plus 
egale a la fois au montant demande et a ladite limite. 
20 Cette disposition peut etre mise temporairement hors service lorsque I'on veut obtenir un redemarrage 
rapide de I'automate apres un arret du a des circonstances normales (maintenance, rechargement de 
billets,...). 

On va maintenant decrire un exemple de realisation de 1'invention, applique a la gestion d f un 
distributeur automatique de billets de banque. 
25 La figure 1 est la representation sous forme de schema par blocs d'un dispositif permettant de mettre en 
oeuvre le procede de invention. 

La figure 2 iliustre sous forme de tableau la maniere dont on determine revolution du risque elementaire 
au cours des periodes a venir. 

La figure 3 iliustre, sous forme de tableau, la maniere dont on determine le risque total pour les periodes 
30 a venir en fonction des risques elementaires precedemment determines. 

La figure 4 est une representation d'un tableau de vaieurs statistiques predetermines permettant de 
reaiiser la division du temps selon le procede de i'invention. 

La figure 5 est une courbe montrant, pour Tune des colonnes du tableau de la figure 4, ia suite des 
valeurs discretes et (a fonction d'interpolation obtenue. 
35 La figure 1 represente, de fagon schematique, les divers blocs fonctionnels permettant la mise en 
oeuvre de ['invention. 

Le distributeur proprement dit, qui est constitue par ies elements 1, 3 et 4 illustres a droite de la figure, 
envoie au limiteur de risque selon I'invention (partie centrale de la figure) un certain nombre d'informations 
et regoit de ceiui-ci une reponse. 

40 Un tel echange demande/reponse constitue une <sc transaction » au sens de I'invention. 

Dans I'exemple d'un distributeur de billets de banque, la demande est eiaboree par le bloc 1 lorsque 
I'utiiisateur desirant se faire delivrer des billets introduit sa carte dans 1'appareil et indique par un clavier le 
montant MD qu'il souhaite obtenir. Ces informations, ainsi que d'autres (qui ne sont pas necessaires a la 
mise en oeuvre du procede de I'invention) sont transmises au bloc 2 du limi teur de risque qui elabore une 

45 reponse constitute essentiellement par un montant accorde MA, le plus souvent egal au montant demande 
MD, mais qui peut etre inferieur a celui-ci ou meme nul lorsque ie limiteur de risque entre en action. 

Le distributeur regoit cette information de montant accorde MA et, si tout est correct par aiileurs 
(verification du code confidentiel, de la iiste des oppositions, etc.) propose a I'utiiisateur ce montant MA 
(bloc 3). L'utilisateur peut eventuellement renoncer a la transaction ou demander un montant effectif ME 

so inferieur au montant accorde MA (bloc 4). En pratique, et pour la simplicity de la description, on 
considerera le montant accorde MA delivre par ['element 2 du limiteur de risque plutot que ie montant 
effectif ME delivre par ie bloc 4 du distributeur. Cependant, en toute rigueur, c'est ce montant ME 
correspondant a la somme effectivement retiree qu'il faudrait prendre en compte, notamment pour le calcul 
du risque et I'asservissement du limiteur de risque. En pratique, dans la tres grande majorite des cas le 

55 montant effectif ME est egal au montant accorde MA, et le fait de choisir Tun ou I'autre a peu d'incidence 
sur Tefficacite du limiteur de risque. 

Comme on l'a indique plus haut, le principe de base du limiteur de risque de I'invention consiste a 
diviser le temps en periodes consecutives de longueurs inegales. Cette longueur est done fonction du 
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temps, et on la notera u(t) ou u(t n ), n etant le rang de la periode consideree. 

On determine la longueur u(t n ) (d'une maniere que Ton explicitera plus bas) de telle sorte que ia 
probability d'avoir une demande de retrait pendant la periode correspondante [t n , t n + i] soit constante. Dans 
I'exemple qui suivra, on fixera cette valeur de probability a 40 %. 
5 La longueur u(t) peut ainsi varier, selon les periodes, de quelques secondes aux heures de pointe a 
plusieurs heures aux heures creuses (periodes nocturnes). 

En variante, on peut egaiement definir u(t) non plus par la probabilite d'avoir une demande de retrait, 
mais a partir de la moyenne des montants demandes au cours de la periode consideree, par exemple 40% 
du montant moyen constate, soit 250 F pour un montant moyen de 625 F. 
10 Les differentes longueurs u(t) sont calculees par le bloc 5, qui calcule egaiement, de proche en proche, 
les heures de debut t n et de fin t n + 1 , conformement a la relation : 
t n *i = t n + u(t„) 

Connaissant une premiere valeur to, on pourra ainsi determiner, de proche en proche, toutes les valeurs 

tn- 

75 

Evaluation du risque elernentaire 



20 Supposons qu'au cours d'une periode donnee (que Ton appellera periode zero, et dont la longueur sera 
done u(to» un retrait de montant MA soit effectue a l f instant t(to ^ t < ti). 

Ce retrait a une certafne probabilite d'etre frauduleux, et correspond done a I'apparition d'un risque, que 
Ton appellera «: risque elernentaire et que Ton designera RE. 

Le risque elernentaire RE lie a ce retrait va cependant s'attenuer au fif du temps. A cet effet, on definira 
25 RE par une fonction RE(n), n designant les periodes successives (n = 0, 1, 2 ...) incluant et suivant la 
periode en cours (n = 0) consideree, et telle que RE(n) soit essentieliement decroissante lorsque n 
augmente. 

On pourra par exemple prendre pour RE(n) la fonction Hlustree sur le tableau de la figure 2, cette 
fonction etant definie par les valeurs de la suite : 
30 RE(n) = MA pour n = 0, 1 ou 2, et 
RE(n) = (2,5/n) x MA pour n 2: 3. 

On voit qu'avec une telle fonction RE(n) devient negligeable lorsque n devient eleveY e'est-a-dire 
lorsque le fraudeur a ete suffisamment retarde dans ses actions et dans ses gains. 

On pourra ainsi limiter le calcul de RE(n) a une valeur maximale (par exemple n = 100), fonction des 
35 capacites de traitement du limiteur de risque. 

On peut egaiement remplacer tout ou partie de la fonction que Ton vient de definir par une fonction 
proche, par exemple une fonction exponentielle, ce qui peut simplifier les differents calculs necessaires. 

Ce risque elernentaire RE(n) est determine par le bloc fonctionnel 6 a partir des donnees MA delivrees 
par le bloc 2 (ou, en variante, a partir des montants effectifs ME delivres par le bloc 4). 

40 

E valuation du risque total 

45 Le risque total (que Ton designera RT) est la valeur d'apres laquelle le limiteur de risque decidera de la 
conduite a tenir vis-a-vis d'une demande donnee : accord du montant demande, limitation (reduction) du 
montant demande, ou refus de delivrance de tout montant 

Ce risque total est determine a partir des risques eiementaires propres attaches a chacun des retraits 
anterieurs. 

50 Ce risque total est une valeur evolutive mise a jour a chaque retrait, done eventuellement plusieurs fois 
au cours d f une meme periode si plusieurs retraits sont effectues au cours de cette periode. 

On appellera RT(n) le risque total RT en debut de la periode n et RT' (n) !e risque total en fin de cette 
meme periode. 

Le risque total en fin de periode est defini de la maniere suivante (pour m retraits effectues au cours de 
55 cette periode): 
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m 

RT'(n) = RT (n) + XHEi(n) 

ixl 



S'il n T y a pas eu de retrait au cours de la periode consideree, on aura RT = RT. S'il y a eu un ou 
piusieurs retraits, ie risque va croltre au cours de la periode, et on aura RT > RT. 

^operation de cumul definie par la relation ci-dessus est effectuee par un circuit additionneur 7 a partir 
des differentes valeurs de risque elementaire determinees, de la maniere indiquee precedemrnent, par le 
bloc 6. 

Ein fin de periode, on procede a un decaiage des numeros de periode, de la maniere que Ton va 
indiquer ci-dessous et que Ton a illustree figure 3. 

Pour permettre ce decaiage, le iimiteur de risque est dote d'une horloge interne 8 qui fournit la variable 
temporelle t. Un comparateur 9 regoit t et la valeur ti (valeur calcuiee correspondant a la fin de la periode 
en cours), elaboree par le bloc 5 de la maniere indiquee plus haut. Lorsque t = ti, un ordre de changement 
de periode est envoye au bloc 10, qui va decaler la numerotation des periodes d'une unite, la periode (n) 
devenant la periode (n - 1). 

devaluation des risques elementaires et du risque total se fera comme precedemrnent, mais les 
periodes vont se trouver decalees d'une unite, comme illustre figure 3 sur un exemple (dans cet exemple, 
pour simplifier, on a suppose qu'il n*y a pas plus d'un retrait par periode, et on a arrondi les montants a la 
cinquantaine de francs la plus proche). 

Au cours d'une periode anterieure (dans cet exemple, la periode -4, c'est-a-dire quatre periodes avant 
la periode en cours) a eu lieu un retrait de 2000 F, ce qui donne pour le risque elementaire la suite de 
valeurs 2000, 2000, 2 000, 1700, 1300, 1000, 850, ... 

Au cours de la periode suivante (periode -3), aucun retrait n'est effectue. 

Au cours de la periode suivante (periode -2) un retrait de 1000 F est effectue, ce qui donne pour le 
risque elementaire la suite de valeurs 1000, 1000, 1000, 850, 650, ... . 

Pour revaluation du risque total, on cumule ces differentes vaieurs respectives a celles etabiies pour la 
periode -4. Mais pour tenir compte du fait qu'il ne s'agit pas de retraits effectues au cours d'une meme 
periode, on decaie vers la droite, de deux colonne dans cet exemple, cette serie de vaieurs par rapport a la 
premiere. 

On procede de meme pour les risques elementaires attaches aux periodes suivantes : dans cet 
exemple, on n'a aucun retrait au cours de la periode -1, et un retrait de 2 000 F au cours de la periode 
zero, c'est-a-dire la periode consideree. 

Le risque total pour cette periode zero est alors egai a la somme des valeurs de la colonne 
correspondante, soit 1300 + 0 + 1000 + 0 + 2000 = 4300 F. 

On voit ainsi que plus les retraits anterieurs ont eu lieu a une periode reculee, plus leur incidence est 
faible dans ie calcul du risque total, et inversement, ce qui est bien le resultat recherche. 

On voit egalement que, en ce qui concerne les periodes a venir (periodes +1, +2, ...) le risque total va 
se reduire au fur et a mesure de la succession des periodes, a moins bien entendu que de nouveaux 
retraits interviennent, provoquant ainsi une augmentation a nouveau de la valeur du risque total. 



Determination du montant finaiement accorde 



A partir du risque total RT 0 correspondant a la periode en cours, determine par le bloc 7 de ia maniere 
que Ton vient d'exposer, le Iimiteur de risque va prendre une decision concernant le montant a accorder 
MA. 

Si Ton appelle S le risque maximal accepte par I'exploitant du distributeur, !e Iimiteur de risque va 
accorder un montant MA egal a la pius faible des deux valeurs: 
MD c'est-a-dire ie montant demande, et 

(S-RTo) c'est-a-dire le risque maximal diminue de la valeur instantanee du risque total RT. 

La determination de S-RT 0 est effectue par !e bloc 11, et celle du montant accorde MA par ie bloc 2. 

Generalement, ie plafond de risque S n'est pas un parametre fixe, unique ; il peut etre constitue de 
piusieurs elements, designes So, Si et S2, dont le principal est So (la maniere dont Si et S2 sont 
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determines et combines a So sera decrite plus bas). 

La plafond So pourrait etre fixe et egal a une valeur de consigne introduite par I'operateur via un organe 
d'entree 12. Le taux d'incidents (c'est-a-dire le pourcentage de fois ou MA < MD), et done le taux 
d'indisponibilite du distributeur, dependraient alors du profil d'utilisation et fluctueraient dans le temps. 
5 Pour pallier cet inconvenient, on prevoit un asservissement de la valeur So tel que le taux moyen 
d'incidents reste constant et egal a une valeur de consigne fixee par I'operateur, par exemple 1 incident 
tout les 500 retraits en moyenne. La detection des incidents (MA < MD) est effectuee par le bloc 13 et 
Passervissement par le bioc 14. Les procedes d'asservissement sont des procedes en eux-memes connus 
du specialiste de cette technique, et pour cette raison ne seront pas decrits ici en detail. 
w La reponse elaboree par le bloc 2 est soit une absence de limitation (le distributeur accorde un montant 
MA = MD), soit une limitation (effet de «; freinage ») c'est-a-dire que le distributeur accorde un montant 
MA < MD, soit un refus de distribution (MA = 0). 

Les simulations qui ont ete effectuees montrent que, par mise en oeuvre du procede de I'invention, on 
peut detecter une fraude potentielle des qu'eile atteint queiques retraits successifs, Le limiteur de risque 
75 entre alors tres rapidement en action pour diminuer, puis eventuellement annuler, pendant un certain temps 
la vaieur MA, de fagon a retarder et done perturber Taction du fraudeur. 

Le temps de retour a une distribution normale est particuiierement long aux heures creuses (periodes 
nocturnes), c'est-a-dire aux moments preferes par les fraudeurs. 

20 

Determination des periodes u(t) 



Comme on Pa vu plus haut, les performances du limiteur de risque dependent directement de la qualite 
25 de la prediction des instants t n successifs definissant la division du temps en periodes consecutives 
inegales de longueur u(t n ). Par ailleurs, le nombre total de periodes au cours d'une meme journee peut etre 
tres eleve, puisque ia duree de certaines periodes peut §tre tres courte. 

Dans ces conditions, plutot que de memoriser et mettre a jour (pour la fonction d'asservissement) un 
tres grand nombre de points u(t n ), on peut avec une bonne approximation ne conserver en memoire qu'un 
30 nombre limite de valeurs discretes preetablies V(n) et determiner par interpolation, a partir de ces valeurs, 
la valeur u(t) a tout instant voulu. 

Ces valeurs V(n) peuvent notamment etre constitutes des valeurs prises par la fonction u(t) aux heures 
rondes de la journee, ce qui limite la memorisation et la mise a jour a 24 valeurs (correspondant a une 
colonne de valeurs dans le tableau de la figure 4). 
35 Parmi un grand nombre de methodes d'interpoiation possibles et connues, on pourra, par exemple pour 
une valeur de t comprise entre t n = 18 heures et t n + 1 = 19 heures, determiner la courbe du troisieme 
degre passant par les quatre points: 



t = 17 


t = 18 


t = 19 


t = 20 


u = V(17) 


u = V(18) 


u = V(19) 


u = V(20) 



On determine ainsi, comme iliustre figure 5, une courbe continue, referencee A, a partir d'un certain 
45 nombre de valeurs discretes, referencees B. 

De facon generale, on pourra par ce procede, a partir d'une valeur to, determiner u(to), puis ti grace a 
la relation: 

tn = to + U(t 0 ) 

puis, de proche en proche, ts, t 3 , ... t n , ... etc. 
so Ces calcuis sont effectues par le bloc 5 de la figure 1 , a partir des coefficients V(n) conserves dans ie 
bloc 15. 

Ce bloc 15 procede en outre a Passervissement des valeurs V(0), V(1),„. V(23), de fagon a maintenir la 
condition fondamentale que la probabiiite de retrait par periode u(t) soit essentiellement constante et egale 
a 40 %. Les procedes d'asservissement sont bien connus des specialistes de la technique et, pour cette 
55 raison, ne seront pas decrits ici en detail. 



Prise en compte des variations cyciiques dans le cafcul des periodes u(t) 
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La densite temporelle des retraits, c'est-a-dire le profil d'utilisation du distributee dans ie journee, qui 
est representee par les 24 valeurs V(0), V(1), V(2), ... V(23), subit en fait dans le temps des variations 
s cycliques, c'est-a-dire que le profil d'utilisation n'est pas le meme un lundi, un dimanche, un jour ferie, etc. 

II est done souhaitabie d'utiiiser non pas un profil journalier type, constitue d'une unique serie de 24 
valeurs, mais des profils differents selon les jours du calendrier. Ces profils sont represented par un tableau 
tel que celui de la figure 4 comportant un certain nombre de coionnes (fonction du calendrier) et 24 lignes 
(fonction de I'heure). 

w Le limiteur de risque est dote d'une horloge 8 et d f un calendrier 16 qui pourra etre programme 
longtemps a I'avance par un operateur, au moyen de la commande 17, de maniere a definir les jours 
exceptionnels (jours feries, jours de foire, veilles de ponts, ...) ou le profil d'utilisation est atypique. 

Le calendrier 16 et ie bloc 17 selectionnent alors la coionne et la ligne a utiliser dans ie tableau 
(memorise dans le bloc 15) pour le caicul de u(t) (effectue dans le bloc 5). 
75 On peut diminuer considerablement le nombre de coionnes du tableau V, jusqu'a une dizaine ou une 
douzaine de coionnes, en remarquant que la fonction V subit des variations cycliques dont on peut tenir 
compte par des coefficients de ponderation qui assurent, par exemple, une correction en fonction du 
quantieme a Tinterieur du mois et/ou du mois a I'interieur de I'annee. 

Le coefficients sont determines a I'avance par des methodes d'analyse statistique ciassiques (analyse 
20 harmonique), qui sont connues du specialiste et, pour cette raison ne seront pas decrites plus en detail ici. 

Ces coefficients correcteurs sont determines par le bloc 18, qui les applique au bloc 5 pour assurer la 
ponderation appropriee lors du caicul des valeurs de u(t). 

25 Amelioration de ^estimation du plafond de risques 



On a indique plus haut que le plafond de risque etait determine notamment a partir d'une valeur fixe de 
consigne So initialement introduite par I'operateur dans le dispositif. 
30 On a indique egalement que Ton evaluait initialement et que Ton asservissait cette vaieur So de 
maniere a maintenir essentiellement constant le taux d'incident (c'est-a-dire le nombre de fois ou le 
dispositif refuse de delivrer la totaiite du montant demande). 

L'experience montre cependant queja repartition dans le temps des incidents n'est pas aleatoire, mais 
que ceux-ci proviennent generalement de phenomenes d'afflux soudains et periodiques de porteurs, lies 
35 par exemple a une heure de sortie de cinema, d'arrivee dYin car ou d'un train, etc. 

On peut ameliorer les reactions du limiteur de risque en ajoutant un tableau supplemental, de 
structure semblable a celle du tableau V de la figure 4. A chaque incident constate par le bloc 13 (c'est- 
a-dire chaque fois que Ton aura MA < MD) 3 on ajoute dans la case correspondante du tableau une somme 
fixe (2000 F par exemple) et on retranche dans toutes les autres cases une quantite egaie (dans cet 
40 exempie, de 2000/23 F) de maniere que la coionne du tableau soit une fonction normee, c'est-a-dire que la 
somme de toutes les cases de la coionne soit egale a zero. 

Par interpolation, de preference avec la meme methode que celle utiiisee pour determiner u n (t) a partir 
du tableau V(t), le bloc 19 du limiteur de risque calcule une fonction Si (t) qui est ajoutee a So (la fonction 
additive pouvant etre remplacee par une fonction multiplicative), d'ou: 
45 S(t) = So(t) + Si(t) 

Cette operation supplemental va rendre completement aleatoire I'apparition des incidents, en suppri- 
mant I'effet des causes repetitives. 

De la meme fagon, on peut ajuster le plafond de risque S de maniere a tenir compte egalement des 
profils ty piques de fraudes. L'operateur introduit alors, par le bloc 20, les parametres caracteristtques de 
so transactions frauduleuses anterieurement constatees (montant le plus souvent demande par un fraudeur, 
jour et heure preferes, etc.), qui permettra d'etablir une fonction complementaire S2 determinee et traitee de 
fagon semblable a Si (bloc 21). La fonction S 2 obtenue viendra en deduction du risque totai S, d'ou: 
S(t) = So(t) + Si(t) - S 2 (t) 

Ici encore, la fonction additive (soustraction) pourra etre remplace par une fonction multiplicative 
55 (division). 

Ainsi, un fraudeur qui essaierait de profiter plusieurs fois des memes circonstances ou des memes 
scenarios se verrait encore plus limite dans ses possibilites de fraudes, puisque le plafond de risque se 
trouvera automatiquement reduit lorsque ces circonstances particulieres seront reunies. 
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Prise en compte des utilisations anormalement faibies 



Comme on I'a indique plus haut, le risque total RT calcule s'attenue au cours du temps, jusqu'a devenir 
5 negligeable, si aucun retrait n'est effectue pendant plusieurs periodes consecutives. 

L'invention permet de tenir compte aisement des utilisations anormalement faibies, ce qui, dans 
certains cas, peut etre considere comme le signe precurseur d'un fraude. 

Pour contrer une telle fraude, on ajoute au risque total RT un risque supplemental ou risque aggrave 
RX 5 qui dependra de la probability pour qu'il n'y ait pas de demande de retrait sur p periodes consecutives. 
10 Dans Pexemple choisi (probability de 40% qu'un retrait ait lieu au cours d'une periode), la probability 
correspondante sera (0,6) p . 

Le limiteur de risque est dote d'un compteur de periodes (bloc 22) qui est increments d'une unite a 
chaque changement de periode et remis a zero a chaque demande de retrait. 

Si i'on accepte un niveau ^incident de 1 incident pour 500 retraits, soit un incident pour 1250 periodes, 
15 la valeur de p a partir de laquelle on peut considerer comme anormal qu'il n'y ait pas eu de demande de 
retrait est donnee par: 
(0,6) p = 1/1250, soit : p = 14 

En pratique, on pourra prendre une vaieur un peu plus elevee, par exemple p = 16. 
On contre alors la fraude exposee plus haut en ajoutant au iimiteur de risque une fonction supplemen- 
20 taire qui annulera (S-RT) lorsque p ^ 16. 

En pratique, cette fonction pourra etre realisee de fagon simple par introduction de retraits fictifs qui 
viendront augmenter RT. 

Ainsi, a partir de la periode correspondant a p = 16 -(S/2000), soit environ p = 12, on augmentera 
(bloc 23) 'artificiellement RT en ajoutant un retrait fictif du montant maximal (2000 F dans cet exemple). 
25 Ce montant fictif entraihera le calcul d'un risque elementaire par le bloc 6, et done une mise a jour et 
une augmentation du risque total RT par le bloc 7, 

SMI n'y a toujours pas de demande de retrait au cours de la periode suivante, on reitere I'operation 
jusqu'a la periode p = 16 (et au-dela). jusqu'a ce que (S-RT) devienne faible ou nul. 

La premiere demande de retrait qui interviendra alors provoquera la remise a zero du compteur 22. 
30 Mais toutefois, du fait du risque total RT artificiellement augmente, le montant accorde MA restera nul ou 
faibie pendant un certain nombre de periodes, ce qui est le but recherche. 

Bien entendu, le distributeur peut etre arrete pour des raisons normales telles qu'un epuisement du 
stock de billets, une operation d'entretien, des essais, etc. On suspendra alors ie fonctionnement du 
compteur t, de fagon a permettre un redemarrage immediat si Tarret est considere comme normal (bloc 

35 24). 



initialisation du iimiteur de risque 

40 

On considerera que le limiteur de risque fonctionne de fagon normale lorsque le parametre S (plafond 
de risque) et les elements du tableau V prennent des valeurs sensiblement stables. 

La periode d'initialisation peut ainsi ailer de deux mois (pour les jours de la semaine) a plus d'un an 
(pour tenir compte des jours feries et des dates exceptionnelles, des coefficients correcteurs saisonniers de 
45 pon deration, etc.). 

Pendant la periode d'initialisation, on evitera les incidents intempestifs en donnant a So une valeur 
initiale elevee. 

Pour reduire la periode d'initialisation, on donnera aux differents asservissements du limiteur de risque 
des constantes de temps relativement faibies, que Ton fera croltre progressivement jusqu'aux valeurs 
50 finales. 

On pourra egalement reduire considerablement le temps d'initialisation par utilisation de valeurs 
provenant d'autres distributees dont les profils d'utilisation sont semblables. 

Les operations d'initialisation du limiteur de risque sont reaiisees par un organe superviseur interne 26, 
a partir des parametres introduits par I'operateur par I'intermediaire d'un organe 25. 

55 

Revendications 
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I. Un procede cTanalyse et de controle du deroulement de transactions informatiques dans lequel, a 
chaque transaction: 

- un utilisateur requiert d'un dispositif la delivrance de biens, de services ou de valeurs pour un montant 
demande (MD) donne, 

5 - le dispositif analyse cette requete par comparaison avec des donnees statistiques predeterminees, 
representatives de revaluation d'un risque d'utilisation non conforme, ces donnees statistiques comprenant 
des donnees relatives au nombre moyen ou au montant moyen des transactions effectuees au cours de 
periodes successives donnees, et 

- le dispositif elabore une reponse autorisant ou non, en fonction du resultat de cette analyse, la delivrance 
w d'un montant accorde (MA), 

caracterise en ce que lesdites donnees statistiques predeterminees resultent d'une division du temps en 
periodes consecutives, inegales, dont les durees (u n ) sont choisies de telle maniere que la probabilite (u n (t)) 
qu'une transaction soit effectuee ou qu'un montant moyen soit demande au cours de chacune de ces 
periodes soit essentieilement constante. 
75 2. Le procede de la revendication 1 , dans lequel: 

- le dispositif elabore et met a jour au cours du temps une fonction donnant une evaluation d'un niveau de 
risque total (RT), et 

- en cas de transaction, le dispositif limite, a un instant donne, !a delivrance du montant accorde (MA) a une 
valeur au plus egale a la fois au montant demande (MD) et a une limite (S-RT) egale a un plafond 

20 predetermine (S) diminue de la valeur instantanee du risque total (RT), 

3. Le procede de la revendication 2, dans lequel, a I'interieur de chaque periode, le dispositif met a jour la 
valeur du risque total (RT) par addition, apres chaque transaction, de la valeur d'un niveau de risque 
elementaire (RE(n)) attache a cette transaction, a la valeur precedente (RT) du risque total. 

4. Le procede de la revendication 3, dans iequei le risque elementaire (RE(n)) attache a chaque transaction 
25 est une fonction donnant, pour chacune des periodes successives a venir, une serie devaluations 

successives determinees a partir du montant accorde deiivre par le dispositif pour cette transaction, ces 
evaluations successives etant determinees de maniere a donner une evaluation du risque elementaire 
essentieilement decroissante en fonction du rang des periodes successives. 

5. Le procede de la revendication 2, dans lequel ledit plafond predetermine (S) est determine a partir d'une 
so valeur fixe de consigne (So) initialement introduite dans le dispositif et dans lequel, en outre, le dispositif: 

- determine ('apparition d'un incident lorsqu'il ne deiivre qu'un montant accorde (MA) inferieur au montant 
demande (MD), et 

- asservit ladite valeur fixe de consigne initialement introduite (So) sur un taux moyen d'incidents 
essentieilement constant au cours du temps. 

35 6. Le procede de la revendication 1, dans lequel lesdites durees (u n ) definissant la division du temps en 
periodes consecutives inegales sont determinees par interpolation a partir des valeurs d'un tableau (V) de 
valeurs discretes statistiques preetabiies correspondant a une division du temps en tranches consecutives. 

7. Le procede de la revendication 6, dans leque! le dispositif: 

- determine I'apparition d'un incident lorsqu'il ne deiivre qu'un montant accorde (MA) inferieur au montant 
40 demande (MD), et 

- asservit lesdites valeurs discretes statistiques preetabiies initialement introduites de maniere a maintenir 
essentieilement constante (a probabilite (u n (t)) qu'une transaction soit effectuee ou qu'un montant moyen 
soit demande au cours de chacune des periodes correspondantes. 

8. Le procede de la revendication 6, dans lequel le dispositif utilise un tableau (V) de valeurs discretes 
45 statistiques different pour chacun des differents jours. 

9. Le procede de la revendication 6 a dans lequel, en outre, !e dispositif pondere les valeurs discretes 
statistiques du tableau (V) en fonction des variations cycliques constatees desdites valeurs, notamment 
selon le quantieme du mois et/ou le mois de I'annee. 

10. Le procede de la revendication 6, dans lequel, en outre, le dispositif pondere les valeurs discretes 
so statistiques du tableau (V) en fonction des parametres typiques lies a des transactions frauduleuses 

anterieurement constatees. 

II, Le procede de ia revendication 4, dans lequel: 

- ie dispositif elabore et met a jour au cours du temps une evaluation d'un niveau de risque aggrave (RX) 
inversement fonction de la probabilite pour que, a un instant donne, ii n'y ait pas eu de transaction 

55 effectuee depuis un nombre donne (p) de periodes consecutives, le risque aggrave etant ajoute au risque 
total (RT) sous forme d'une transaction fictive de montant donne (RX), et 

- en cas de transaction dans une periode posterieure, le dispositif limite, a un instant donne, la delivrance 
du montant accorde (MA) a une valeur au plus egale a la fois au montant demande (MD) et a ladite limite 
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